Cumplimiento PCI
¿Qué es el cumplimiento de PCI?
tarjetas de crédito exigen el cumplimiento de la industria de tarjetas de pago (PCI) para ayudar a garantizar la seguridad de las transacciones con tarjetas de crédito en la industria de pagos. El cumplimiento de la industria de tarjetas de pago se refiere a los estándares técnicos y operativos que siguen las empresas para asegurar y proteger los datos de tarjetas de crédito proporcionados por los titulares de tarjetas y transmitidos a través de transacciones de procesamiento de tarjetas. Los estándares PCI para el cumplimiento son desarrollados y administrados por el PCI Security Standards Council.
Comprender el cumplimiento de PCI
La Comisión Federal de Comercio (FTC) tiene la responsabilidad de supervisar el procesamiento de tarjetas de crédito, ya que se incluye en la necesidad de protección y supervisión del consumidor. Si bien no existe necesariamente un mandato regulatorio para el cumplimiento de PCI, se considera obligatorio a través de precedentes judiciales.
En general, el cumplimiento de PCI es un componente central del protocolo de seguridad de cualquier compañía de tarjetas de crédito. Por lo general, lo exigen las compañías de tarjetas de crédito y se analiza en los acuerdos de red de tarjetas de crédito.
El PCI Standards Council es responsable del desarrollo de los estándares para el cumplimiento de PCI. Estos estándares se aplican al procesamiento comercial y también se han ampliado para delinear los requisitos para las transacciones cifradas de Internet. Otras entidades clave que también están asociadas con el establecimiento de estándares en la industria de tarjetas de crédito incluyen The Card Association Network y National Automated Clearing House (NACHA).
Requisitos para el cumplimiento de PCI
Los estándares de cumplimiento de PCI requieren que los comerciantes y otras empresas manejen la información de la tarjeta de crédito de una manera segura que ayude a reducir la probabilidad de que a los titulares de las tarjetas les roben información financiera confidencial. Si los comerciantes no manejan la información de la tarjeta de crédito de acuerdo con los estándares PCI, la información de la tarjeta podría ser pirateada y utilizada para una multitud de acciones fraudulentas. Además, la información confidencial sobre el titular de la tarjeta podría usarse en el fraude de identidad.
Cumplir con PCI significa adherirse constantemente a un conjunto de pautas establecidas por el PCI Standards Council. El cumplimiento de PCI se rige por el PCI Standards Council, una organización formada en 2006 con el propósito de administrar la seguridad de las tarjetas de crédito.
Los requisitos desarrollados por el Consejo se conocen como Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS). PCI DSS tiene 12 requisitos clave, 78 requisitos básicos y más de 400 procedimientos de prueba. Las pautas también se consideran mejores prácticas de seguridad. Sus 12 requisitos principales incluyen lo siguiente:
Implementar cortafuegos para proteger los datos
Protección de contraseña adecuada
Proteger los datos del titular de la tarjeta
Cifrado de los datos del titular de la tarjeta transmitidos
Utilice software antivirus
Actualice el software y mantenga los sistemas de seguridad
Restringir el acceso a los datos del titular de la tarjeta
Identificaciones únicas asignadas a quienes tienen acceso a los datos
Restringir el acceso físico a los datos
Crear y monitorear registros de acceso
Pruebe los sistemas de seguridad periódicamente
Cree una política que esté documentada y que se pueda seguir
La versión más reciente de PCI DSS se lanzó en mayo de 2018 y se denomina versión 3.2.1. En general, los seis objetivos y los 12 requisitos describen una serie de pasos que los procesadores de tarjetas de crédito deben seguir continuamente. En primer lugar, se pide a las empresas que evalúen sus redes y sistemas, lo que implica infraestructura de tecnología de la información, procesos comerciales y procedimientos de manejo de tarjetas de crédito.
Beneficios del cumplimiento de PCI
El mantenimiento constante y la evaluación de cualquier brecha en la seguridad también son muy importantes para evitar el robo de información confidencial del titular de la tarjeta, como los números de la seguridad social y la licencia de conducir, siempre que sea posible.
Las empresas están obligadas a proporcionar informes de cumplimiento periódicamente como parte de sus acuerdos de procesamiento de tarjetas. El monitoreo, las evaluaciones y las auditorías de los estándares de seguridad de datos de la industria de tarjetas de pago son una parte importante del departamento de seguridad de una empresa.
Todas las empresas que procesan información de tarjetas de crédito deben mantener el cumplimiento de PCI según lo indicado en sus acuerdos de procesamiento de tarjetas. El cumplimiento de PCI es el estándar de la industria y los negocios sin él pueden resultar en multas sustanciales por negligencia y violaciones del acuerdo. Sin el cumplimiento de PCI, las empresas también son muy vulnerables al robo, el fraude y las filtraciones de datos.
95%
El porcentaje de brechas de seguridad cibernética causadas por errores humanos.
Los beneficios del cumplimiento incluyen la reducción del riesgo de filtraciones de datos, la protección de los datos del titular de la tarjeta y, por lo tanto, la posibilidad de robo de identidad. Es una buena práctica que las empresas cumplan, ya que reduce las multas relacionadas con las violaciones de datos, ayuda a la reputación de marca de una empresa,. mantiene a los clientes contentos y seguros de que están haciendo negocios con una empresa responsable, lo que lleva a la lealtad a la marca.
En la primera mitad de 2020, hubo 36 mil millones de registros expuestos a través de filtraciones de datos. El ochenta y seis por ciento de las infracciones tuvieron una motivación financiera y, dado que se espera que el mercado global de seguridad de la información alcance los $ 170 mil millones en 2020, el riesgo financiero es aún mayor. Proteger los datos de los titulares de tarjetas no solo es bueno para los negocios, sino que también es lo correcto, ya que garantiza que las personas no sufran daños económicos ni pérdidas financieras.
Cumplimiento de PCI y violaciones de datos
El cumplimiento de PCI ayuda a evitar actividades fraudulentas y mitiga las filtraciones de datos. Verizon proporciona una evaluación anual de la seguridad de los pagos en su "Informe de seguridad de pagos de Verizon". El Informe de 2019 dedica una sección completa a PCI DSS, llamada "El estado del cumplimiento de PCI DSS, 2019: y 12 requisitos clave". Algunos aspectos destacados de PCI DSS del "Informe de seguridad de pago de Verizon 2019" incluyen lo siguiente:
El 36,7 % de las organizaciones mantuvieron activamente los programas PCI DSS en 2018.
La región de Asia-Pacífico superó a América, Europa, Medio Oriente y África.
Desde la perspectiva de la industria, la hostelería va un poco por detrás de otros sectores.
Preguntas frecuentes sobre el cumplimiento de PCI
¿Qué significa compatible con PCI?
Cumplimiento de PCI significa que cualquier empresa u organización que acepte, transmita o almacene los datos privados de los titulares de tarjetas cumple con las diversas medidas de seguridad descritas por el PCI Security Standard Council para garantizar que los datos se mantengan seguros y privados.
¿La ley exige el cumplimiento de PCI?
No existe un mandato regulatorio que requiera el cumplimiento de PCI, pero se considera obligatorio a través de precedentes judiciales.
¿Cómo puedo cumplir con PCI?
Para cumplir con PCI, primero debe determinar qué cuestionario de autoevaluación debe seguir para cumplir. Una vez que termine el cuestionario, debe completar y conservar evidencia de un escaneo de vulnerabilidad aprobado con un proveedor de escaneo aprobado por PCI SSC. El escaneo se aplica solo a algunos comerciantes. A continuación, deberá completar la Declaración de cumplimiento. El último paso será enviar toda la información anterior.
¿Quién debe cumplir con PCI?
Cualquier empresa u organización que acepte, transmita o almacene los datos privados de los tarjetahabientes.
La línea de fondo
El cumplimiento de PCI se refiere a los estándares técnicos y operativos establecidos por el Consejo de Estándares de Seguridad de PCI que las organizaciones deben implementar y mantener. El objetivo de cumplir con PCI es proteger los datos del titular de la tarjeta y se aplica a cualquier organización que acepte, transmita o almacene esos datos. Cumplir con PCI es una buena práctica comercial, ya que prioriza la seguridad de los datos del consumidor y también beneficia a una organización a través de una reputación de marca positiva.
Reflejos
Las empresas que siguen y cumplen los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se consideran compatibles con PCI.
Ser compatible con PCI reduce las filtraciones de datos, protege los datos de los titulares de tarjetas, evita multas y mejora la reputación de la marca.
PCI DSS tiene 12 requisitos clave, 78 requisitos básicos y 400 procedimientos de prueba para garantizar que las organizaciones cumplan con PCI.
El PCI Security Standards Council es responsable de desarrollar el PCI DSS.
El cumplimiento de PCI no es requerido por ley, pero se considera obligatorio a través de precedentes judiciales.